Kaspersky, bu saldırıyı “ForumTroll Operasyonu” olarak adlandırıyor. Şirketin analizlerine göre, saldırı genellikle e-posta yoluyla kullanıcıya gönderilen kimlik avı bağlantılarıyla başlıyor. Saldırganlar, kullanıcıları “Primakov Okumaları” adlı bir foruma davet ediyormuş gibi göstererek kandırıyor. Ancak, bağlantıya tıklandığında Chrome’daki sıfır gün açığı kullanılarak kötü amaçlı yazılım otomatik olarak yükleniyor.
Bu yazılım, herhangi bir kullanıcı müdahalesine gerek kalmadan sistem üzerinde çalışabiliyor ve siber casusluk için veri toplayabiliyor.
Kaspersky’nin araştırmasına göre, saldırının özellikle Rusya’daki medya kuruluşları, eğitim kurumları ve devlet dairelerini hedef aldığı belirlendi. Kullanıcılar kötü amaçlı bağlantıya tıkladığında, saldırının izi kaldırıldıktan sonra gerçek “Primakov Readings” internet sitesine yönlendirme yapılıyor, böylece saldırı tespit edilmesi zor hale geliyor.
Analizler, bu saldırının uzaktan kod yürütme (RCE) ve sanal alan kaçışı gibi gelişmiş teknikler içerdiğini ve sadece bir güvenlik açığından değil, daha büyük bir istismar zincirinin parçası olduğunu gösteriyor.
Kaspersky’nin GReAT Baş Güvenlik Araştırmacısı Boris Larin, saldırının son derece gelişmiş olduğunu ve arkasında büyük kaynaklara sahip bir Gelişmiş Kalıcı Tehdit (APT) grubu olabileceğini belirtti. Larin, “Bu saldırı, güvenlik sınırlarını zorlayan bir karmaşıklığa sahip. Tüm kullanıcıların Google Chrome ve Chromium tabanlı tarayıcılarını en güncel sürüme yükseltmeleri büyük önem taşıyor.” uyarısında bulundu.
Siber güvenlik uzmanları, özellikle e-posta ile gelen şüpheli bağlantılara karşı dikkatli olunması gerektiğini ve sistem güncellemelerinin aksatılmaması gerektiğini vurguluyor.